Diagnostic cybersécurité : un directeur d’Ehpad témoigne

Par

Publié le 11/06/2025

Article réservé aux abonnés

Le directeur d’un Ehpad situé près de Nantes explique les bienfaits du diagnostic cybersécurité, un service gratuit proposé par les GRADeS, ces groupements régionaux d’appui au développement de la e-santé .

Crédit photo : BURGER/PHANIE

Lors d’un webinaire organisé par l’Agence du numérique en santé (ANS), un directeur d’Ehpad a témoigné du diagnostic cyber efficace dont il a pu bénéficier en 2025, une façon d’illustrer les actions de protection pertinentes dans le secteur médico-social face aux attaques.

La transformation numérique des Ehpad s’est accélérée en 2024 avec, en corollaire, un effort de l’État de huit millions d’euros dédiés à la cybersécurité dans le secteur médico-social, un guichet de référencement gratuit et un panel de solutions pratiques. Cette même année, un établissement ou service social et médico-social (ESMS) sur deux s’est engagé dans une démarche pour augmenter son niveau de cybersécurité. Les enjeux sont lourds : 749 incidents ont été déclarés par 558 établissements sanitaires et médico-sociaux l’an passé, soit une hausse de 29 % sur un an, selon l’Observatoire des incidents de sécurité des systèmes d’information.

C’est dans ce contexte que Thierry Perrin a pris ses fonctions en septembre 2024 à la tête de résidence de la Rochefoucauld, un établissement de 94 places, à Plessé dans les Pays de la Loire. Pourtant peu au courant « des acronymes des systèmes d’information », il s’est intéressé à la culture de sécurité informatique. Il y a cinq ans, il a été mis en alerte grâce au retour d’expérience d’un autre directeur d’Ehpad ayant subi une cyberattaque. Ce dernier s’était rendu compte, en plein incident, que les disques de sauvegarde n’avaient rien sauvegardé… « Cela a été terrible pour lui. Il a déposé plainte contre le prestataire informatique », relate Thierry Perrin. Le point de départ d’une prise de conscience : à cette époque, analyse le directeur, « on entendait surtout parler des cyberattaques que subissaient les hôpitaux et on commençait seulement à en vivre dans les ESMS ».

Des mesures efficaces qui ne coûtent rien

Le directeur raconte ensuite comment il a été sensibilisé plus directement à cette menace lors du diagnostic de son propre établissement dont il a profité en février dernier. « J’ai vite compris que les cyberattaques peuvent toucher n’importe quelle structure, de grande comme de petite taille », insiste-t-il. L’essentiel n’est pas de se focaliser sur l’évaluation obtenue (médiocre dans son cas) mais d’être conscient que « nous pouvons remonter rapidement cette note avec très peu de leviers et qui ne coûtent pas cher » – comme la mise à jour de logiciels ou le fonctionnement correct du pare-feu.

Dans un contexte de tensions financières fortes, Thierry Perrin a apprécié que cet accompagnement soit gratuit. Ce soutien logistique organisé par son groupe régional (GRADeS) de référence a été jugé « efficace ». Mieux, le directeur ne s’est pas senti « dépassé ni largué dans la discussion ». Et cet exercice lui a permis de relancer le dialogue avec son prestataire informatique, qui a d’autres sujets à gérer que la sécurité cyber dans son cahier des charges, comme les logiciels RH, comptabilité, paie, mais aussi le wi-fi et les systèmes de communication.

Formation du personnel

Après le diagnostic, l’Ehpad a mis en place des actions de sensibilisation et de formation pour son personnel. Mais Thierry Perrin veut aller plus loin. Il ambitionne « dans l’idéal » un exercice de simulation de crise en cas de cyberattaque pour tous ceux qui utilisent des logiciels de soin. Empathique, il déclare « se mettre à leur place » et imagine déjà le scénario du pire dans une tendance qui va vers le zéro papier. « Si demain nous n’avons plus accès du tout à notre réseau informatique, ça va être très compliqué en cas d’attaque. Car il faudra reprendre le stylo et le papier, les délais étant longs pour tout remettre en ordre. » La sécurité informatique est à prendre en compte « au même niveau que la sécurité incendie », conclut le directeur.